

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Document-level Zugriffskontrollen
<a name="kb-managed-ds-onedrive-acl"></a>

OneDrive Datenquellen unterstützen optional die Zugriffskontrolle auf Dokumentebene. Wenn diese Option aktiviert ist, synchronisiert Bedrock Managed Knowledge Base OneDrive bei jedem Crawl Zugriffskontrolllisten (ACLs) und überprüft die Berechtigungen jedes Benutzers bei der Abfrage, sodass Benutzer nur Ergebnisse von Dokumenten sehen, auf die sie zugreifen dürfen. OneDrive Eine Übersicht über die ACL-Awareness für alle Konnektoren finden Sie unter. [Aktivierung des Bewusstseins für Zugriffskontrolllisten](kb-managed-acl.md)

**ACL-Awareness ist keine Autorisierung**  
Die Bedrock Managed Knowledge Base bietet ACL-aware Filterung, keine Sicherheitsgrenze. Bedrock Managed Knowledge Base authentifiziert keine Endbenutzer — Ihre Anwendung ist für die Authentifizierung von Benutzern und die Weitergabe des verifizierten Identitätskontextes verantwortlich. Die Bedrock Managed Knowledge Base kann die Authentizität des von Ihnen angegebenen Benutzerkontextes nicht überprüfen. Daher filtert diese Funktion Ergebnisse auf der Grundlage der von Ihnen angegebenen Identität, stellt jedoch keine echte Autorisierung dar. Sie dürfen sich nicht auf diese Funktion als alleinigen Zugriffskontrollmechanismus ohne vorherige Authentifizierung verlassen.

## Funktionsweise
<a name="kb-managed-ds-onedrive-acl-how"></a>

Wenn ein Benutzer eine Wissensdatenbank abfragt, die eine ACL-enabled OneDrive Datenquelle verwendet, erzwingt Bedrock Managed Knowledge Base Zugriffskontrollen in zwei Schritten:
+ **Pre-retrieval Filterung** — Bedrock Managed Knowledge Base wendet die Zugriffskontrolllisten an, die OneDrive beim letzten Crawl synchronisiert wurden, und gibt nur Kandidatendokumente zurück, auf die der Benutzer (oder seine Gruppen) zugreifen darf.
+ **Real-time Überprüfung** — Bedrock Managed Knowledge Base verifiziert die Kandidatendokumente in Echtzeit, indem sie den aktuellen Zugriff des anfragenden Benutzers überprüft. OneDrive Nur Dokumente, für die der Benutzer derzeit berechtigt ist, sind in der Antwort enthalten.

Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die OneDrive Berechtigungen zwischen den Synchronisierungen ändern.

## Was wird gecrawlt
<a name="kb-managed-ds-onedrive-acl-crawl"></a>

Wenn ACLs aktiviert sind, durchsucht Bedrock Managed Knowledge Base Freigabeberechtigungen auf Dateiebene und Sicherheitsgruppenzuweisungen von. OneDrive Verschachtelte (transitive) Gruppenmitgliedschaften werden ebenfalls aufgelöst.

Bei der Abfrage übergeben Sie die E-Mail-Adresse des Benutzers (keine Gruppe). Bedrock Managed Knowledge Base löst die Gruppenmitgliedschaften dieses Benutzers anhand der gecrawlten Daten auf und wendet sie beim Filtern der Ergebnisse an. Weitere Informationen zum Identitätsmodell finden Sie unter. [Aktivierung des Bewusstseins für Zugriffskontrolllisten](kb-managed-acl.md)

## Voraussetzungen für ACL Awareness
<a name="kb-managed-ds-onedrive-acl-prereqs"></a>

ACL-enabled OneDrive verwendet zwei verschiedene Microsoft-APIs, von denen jede ihren eigenen Anwendungsberechtigungssatz für Ihre Microsoft Entra-Anwendung hat: Der Crawl verwendet die Microsoft Graph-API und die Echtzeitüberprüfung verwendet die SharePoint REST-API (OneDrive for Business wird unterstützt von). SharePoint Konfigurieren Sie die Berechtigungen für beide APIs mit Zustimmung des Administrators, bevor Sie ACL Awareness aktivieren.
+ `User.Read.All`und `GroupMember.Read.All` auf Microsoft Graph (für Identity Crawling).
+ `Sites.FullControl.All`aktiviert SharePoint (für die Überprüfung des Zugriffs auf Dokumente). `Sites.Read.All`ist nicht ausreichend — der Nur-Lese-Zugriff kann nicht die effektive Berechtigungsprüfung durchführen, die für die Echtzeitverifizierung erforderlich ist.

**Wichtig**  
Der Crawl verwendet die Microsoft Graph-API und die Echtzeitverifizierung verwendet die SharePoint REST-API — verschiedene Ressourcen mit unterschiedlichen Anwendungsberechtigungen. Die Microsoft Graph-Berechtigungen zum Crawlen von Identitäten sind erforderlich, reichen aber nicht aus: Für die Echtzeitverifizierung ist zusätzlich die SharePoint `Sites.FullControl.All` Genehmigung mit Zustimmung des Administrators erforderlich. Die ausschließliche Gewährung von Microsoft Graph-Berechtigungen ist die häufigste Ursache dafür, dass eine ACL-enabled OneDrive Datenquelle keine Ergebnisse zurückgibt, selbst wenn der Benutzer Zugriff hat.

Das vollständige Einrichtungsverfahren, einschließlich des Zertifikats, finden Sie unter[Richten Sie die Microsoft Entra App ID-Authentifizierung ein für OneDrive](kb-managed-onedrive-entra-setup.md).

## Aktivieren Sie ACL Awareness
<a name="kb-managed-ds-onedrive-acl-enable"></a>

Um ACL Awareness für eine OneDrive Datenquelle `aclEnabled` zu aktivieren, setzen Sie `true` in der auf `connectorParameters` und verwenden Sie den `ENTRA_APP_ID` Authentifizierungstyp. Dieser Authentifizierungstyp verwendet Anwendungsberechtigungen, die es Bedrock Managed Knowledge Base ermöglichen, Identitätsinformationen zu crawlen und den Zugriff auf Dokumente bei der Abfrage zu überprüfen.

**Wichtig**  
Die ACL-Konfiguration ist permanent. Sie können ACLs nicht für eine Datenquelle aktivieren, die ohne ACL-Unterstützung erstellt wurde, und Sie können ACLs nicht deaktivieren, sobald sie aktiviert sind.

Wenn ACLs für aktiviert sind OneDrive, müssen Sie eine `certificateS3Path` in die Referenzdatei mit dem `connectionConfiguration` Verweis auf eine PKCS \#12 (`.p12`) -Zertifikatsdatei in Amazon S3 aufnehmen. Dieses Zertifikat wird für die ACL-Verifizierung in Echtzeit anhand der SharePoint REST-API verwendet. Das `certificateS3Path` ist nicht erforderlich, wenn ACLs deaktiviert sind.

```
"connectorParameters": {
    "type": "ONEDRIVE",
    "version": "1",
    "aclEnabled": true,
    "connectionConfiguration": {
        "tenantId": "{{your-tenant-id}}",
        "authType": "ENTRA_APP_ID",
        "secretArn": "{{arn:aws:secretsmanager:region:account-id:secret:secret-name}}",
        "certificateS3Path": {
            "s3BucketName": "{{your-certificate-bucket}}",
            "s3KeyName": "{{certs/certificate.p12}}"
        }
    },
    "dataEntityConfiguration": {
        "crawlPersonalDrives": true
    }
}
```

**Anmerkung**  
Das `certificatePassword` Feld im Secret ist optional. Wenn Sie es weglassen, öffnet Bedrock Managed Knowledge Base die PKCS \#12 (`.p12`) -Datei mit der Client-ID Ihrer Anwendung als Passwort, sodass das Zertifikat mit diesem Passwort erstellt worden sein muss. Wir empfehlen, immer eine explizite, hohe Entropie festzulegen, um den privaten Schlüssel des Zertifikats im `certificatePassword` Ruhezustand zu schützen.

**Anmerkung**  
Der `OAUTH2` Authentifizierungstyp wird für Datenquellen nicht unterstützt. ACL-enabled OneDrive Sie müssen `ENTRA_APP_ID` verwenden.

## Real-time Überprüfung des Zugriffs
<a name="kb-managed-ds-onedrive-acl-realtime"></a>

Bedrock Managed Knowledge Base verifiziert jedes Kandidatendokument in Echtzeit vollständig serverseitig unter Verwendung von Anmeldedaten — es gibt weder eine Anmeldung durch den Endbenutzer noch eine delegierte Zustimmung. Da OneDrive for Business unterstützt wird SharePoint, überprüft Bedrock Managed Knowledge Base die effektiven Berechtigungen des abfragenden Benutzers anhand der REST-API für den SharePoint Host Ihres Mandanten. OneDrive 

OneDrive Die Echtzeitverifizierung verwendet ein Modell mit zwei Anmeldeinformationen, und beide Anmeldeinformationen sind erforderlich:
+ Die Client-ID und das Client-Geheimnis in Ihrem AWS Secrets Manager Secret bilden ein Microsoft Graph-Token, das verwendet wird, um den OneDrive Host Ihres Mandanten (den `-my.sharepoint.com` Host) aufzulösen.
+ Das Zertifikat von `certificateS3Path` mintet das SharePoint REST-Token, das für die Berechtigungsprüfung selbst verwendet wurde. Das Zertifikat ist der maßgebliche Berechtigungsnachweis für die Überprüfung in Echtzeit — ein geheimes Client-Token allein kann die Prüfung nicht durchführen.

**Wichtig**  
Die Anwendung muss über die SharePoint `Sites.FullControl.All` entsprechende Genehmigung mit Zustimmung des Administrators verfügen. Das `Sites.Read.All` ist nicht ausreichend, da für die Prüfung der effektiven Berechtigungen Kontrollrechte erforderlich sind. manage/full Ohne die richtige Berechtigung kann die Echtzeitüberprüfung die effektiven Berechtigungen nicht auswerten und schlägt beim Schließen fehl, sodass jedes Dokument für jede Abfrage verweigert wird — selbst wenn der Benutzer Zugriff hat und der Crawl und die Filterung vor dem Abruf erfolgreich waren. Weitere Informationen finden Sie unter [Voraussetzungen für ACL Awareness](#kb-managed-ds-onedrive-acl-prereqs).

**Anmerkung**  
Nachdem Sie die SharePoint Anwendungsberechtigung erteilt haben oder ihr zugestimmt haben, kann es bis zu einer Stunde dauern, bis die Änderung für Benutzer wirksam wird, die vor der Änderung geprüft wurden, da die Anmeldeinformationen für den Anwendungszugriff zwischengespeichert werden. Um die Änderung früher zu bestätigen, testen Sie es mit einem anderen Benutzer, der noch nicht abgefragt wurde.

## Überprüfen Ihrer Konfiguration
<a name="kb-managed-ds-onedrive-acl-verify"></a>

Sie können Ihre Entra-Anwendungsberechtigungen unabhängig von einer Abrufanforderung validieren. Führen Sie jede der folgenden Prüfungen durch:

1. **Microsoft Graph (Crawl)**:
   + Erwerben Sie ein Anwendungstoken mit Gültigkeitsbereich`https://graph.microsoft.com/.default`.
   + Dekodieren Sie das Token und bestätigen Sie, dass der `roles` Anspruch die erforderlichen Microsoft Graph-Berechtigungen (`User.Read.All``GroupMember.Read.All`, und`Files.Read.All`) enthält.
   + Rufen Sie an `GET https://graph.microsoft.com/v1.0/users/{user}/drive/root/children` und bestätigen Sie, dass die Laufwerkselemente des Benutzers aufgelistet sind.

1. **SharePoint REST (Überprüfung in Echtzeit)**:
   + Erwerben Sie ein Token mithilfe der Zertifikatsclient-Assertion mit Gültigkeitsbereich`https://{tenant}-my.sharepoint.com/.default`.
   + Bestätigen Sie, dass der `roles` Anspruch des Tokens die SharePoint `Sites.FullControl.All` Genehmigung beinhaltet. Ein `roles: null` Wert bedeutet, dass die Erlaubnis oder die Zustimmung des Administrators fehlt.
   + Rufen Sie an `GET https://{tenant}-my.sharepoint.com/_api/web` und bestätigen Sie, dass es erfolgreich ist (HTTP 200). Eine fehlgeschlagene oder nicht autorisierte Antwort bedeutet, dass die SharePoint Genehmigung oder die Zustimmung des Administrators fehlt, wodurch alle Dokumente verweigert werden.

**Anmerkung**  
[Nachdem Sie die Berechtigung korrigiert haben, ist der SharePoint Aufruf auf Token-Ebene sofort erfolgreich, aber ein vollständiger Abruf für einen bereits getesteten Benutzer kann immer noch um die in der Zugriffsüberprüfung beschriebene Cache-TTL verzögert werden. Real-time ](#kb-managed-ds-onedrive-acl-realtime) Gehen Sie nicht davon aus, dass der Fix fehlgeschlagen ist, wenn ein Benutzer im Cache liegt.

## Fehlerbehebung
<a name="kb-managed-ds-onedrive-acl-troubleshooting"></a>

**Anmerkung**  
ACL-Fehlkonfigurationen führen beim Abrufen nicht zu expliziten Fehlern. Der Abruf schlägt fehl: Die betroffenen Dokumente werden stillschweigend ausgelassen, sodass eine Abfrage weniger oder gar keine Ergebnisse als einen Fehler zurückgibt. Verwenden Sie die oben genannten Überprüfungsprüfungen, um diese Probleme zu diagnostizieren.


**ACL-enabled OneDrive Symptome, Ursachen und Lösungen**  

| Symptom | Wahrscheinliche Ursache | Reparieren | 
| --- | --- | --- | 
| Retrieve gibt 0 Ergebnisse zurück, aber der Benutzer hat Zugriff auf OneDrive. | Microsoft Graph-Berechtigungen sind vorhanden, aber die SharePoint Anwendungsberechtigung oder die Zustimmung des Administrators fehlt, sodass der SharePoint REST-Aufruf abgelehnt und jedes Dokument verweigert wird. | Erteilen Sie die SharePoint Sites.FullControl.All Erlaubnis mit Zustimmung des Administrators. Da diese Anwendungsanmeldedaten zwischengespeichert werden, sollten Sie bis zu einer Stunde warten, bis die Änderung wirksam wird, oder testen Sie sie mit einem Benutzer, der noch nicht abgefragt wurde, um dies früher zu bestätigen. | 
| Der Zugriff eines Benutzers wurde geändert OneDrive, aber das neue Ergebnis wird nicht sofort übernommen. | Per-user Die Zugriffsergebnisse zwischen der Datenquelle und der Bedrock Managed Knowledge Base sind letztendlich konsistent (normalerweise innerhalb von etwa zwei Minuten), sodass eine kürzlich erfolgte Zugriffsänderung möglicherweise nicht sofort widergespiegelt wird. | Warten Sie etwa zwei Minuten, nachdem die Datenquelle die Änderung übernommen hat, und versuchen Sie es erneut. | 
| Allen Benutzern wird der Zugriff verweigert, nachdem sie zuvor gearbeitet haben. | Das Zertifikat ist abgelaufen oder die Zustimmung des Administrators wurde widerrufen. | Erneuern Sie das Zertifikat in der Entra-App-Registrierung und in Amazon S3 und erteilen Sie erneut die Zustimmung des Administrators. | 
| Das Crawlen oder Synchronisieren schlägt fehl, obwohl die Konfiguration korrekt aussieht. | Eine erforderliche Microsoft Graph-Anwendungsberechtigung fehlt. | Grant Files.Read.AllSites.Read.All,User.Read.All, undGroupMember.Read.All. | 
| Fehler bei der Erstellung von Zertifikatskennwörtern oder Tokens. | Das .p12 Passwort stimmt nicht überein. certificatePassword | Stellen Sie certificatePassword das Passwort ein, mit dem die .p12 Datei erstellt wurde. | 